다양한 지갑 공격 보고가 Polymarket 앱 사용자들 사이에서 나타나고 있으며, Google 을 통해 로그인한 후 자금이 사라졌다고 신고하고 있습니다.
조사 진행 중 최근 인증 방법의 취약점과 피싱 공격이 드러났습니다. 아래에서 모든 세부 사항을 확인해 보겠습니다.
Summary
Polymarket 사용자들은 Google을 통해 액세스한 후 지갑이 고갈되는 공격을 보고합니다
지난 몇 달 동안, 시장 예측을 위한 인기 있는 플랫폼인 Polymarket의 여러 사용자가 걱정스러운 시나리오를 보고했습니다: Google을 통해 로그인한 후 그들의 wallet이 신비롭게도 비워졌습니다.
표준 Web3 지갑을 사용하는 사람들, 예를 들어 MetaMask o Trustwallet은 영향을 받지 않았지만, OAuth 또는 Email OTP를 통한 최신 접근 방법을 사용하는 사용자들이 주요 피해자인 것으로 보입니다.
이 문제는 많은 사람들이 이러한 새로운 인증 방식의 보안과 시스템의 잠재적인 결함에 대해 의문을 제기하게 만들었습니다.
초기에 문제를 보고한 사용자 중 한 명은 HHeego, Discord 커뮤니티의 Polymarket 멤버입니다. 그의 말에 따르면, 8월 5일에 약 $1.085,80의 USD Coin (USDC)을 Binance를 통해 Polymarket 계정에 입금했다고 합니다.
그럼에도 불구하고, 입금을 보지 못하고 몇 시간을 기다린 후, 그는 도움을 찾기 위해 Polymarket의 Discord 서버에 가입했습니다. 여기서 다른 사용자들도 유사한 문제를 겪고 있다는 것을 알게 되었습니다.
사용자 인터페이스의 단순한 오류일 가능성이 높다는 사실에 안심한 HHeego는 걱정을 멈췄습니다. 얼마 지나지 않아, 입금이 마침내 그의 지갑에 나타났습니다.
그러나, 나타난 것과 같은 속도로, $1.188,72 USDC의 전체 잔액이 사라졌으며, 입금 전에 그의 계좌에 이미 있던 $102,92도 포함되었습니다.
HHeego는 즉시 Polygonscan 블록 탐색기를 통해 거래 내역을 조사하여 그의 잔액이 “Fake_Phishing399064″라는 계정으로 이전된 것을 발견했습니다.
이 사건은 악몽의 시작을 알렸다.
자금 인출에도 불구하고, HHeego의 총 $2,000 가치의 미결제 거래는 그대로 유지되었습니다.
이 이상한 세부 사항은 공격 뒤에 있는 미스터리를 더욱 부채질하여 단순한 취약점이 아니라 더 목표 지향적이고 구체적인 것일 수 있다는 추측을 불러일으켰습니다.
두 번째 공격과 고객 지원의 개입
처음에는 그의 포트폴리오가 고갈된 것이 단지 실수라고 생각했습니다
일시적으로, HHeego는 8월 11일에 추가 금액 $4.111,31 l을 입금하기로 결정했습니다.
하지만, 이전에 발생한 것처럼, 자금은 동일한 피싱 계정에서 즉시 인출되어 총 손실이 무려 $5.197,11에 달했습니다. 이 시점에서 HHeego는 자신의 계정이 손상되었음을 깨달았습니다.
그 후, 그는 약 $1.000에 달하는 모든 운영을 종료하기로 결정하고 남은 자금을 그의 Binance 계좌에서 인출했습니다. 놀랍게도, 해커는 이 자금에 손을 대지 않았고, 인출은 성공적으로 완료되었습니다.
이것은 공격이 예치된 금액에만 국한되고 이미 열린 거래의 수익과는 관련이 없다는 그의 확신을 더욱 강화시켰습니다.
HHeego가 Polymarket 고객 지원에 다시 연락했을 때, 그의 계정이 아마도 compromesso되었으며 더 이상 사용하지 말아야 한다고 말했습니다.
에이전트는 팀이 무슨 일이 일어났는지 더 잘 이해하기 위해 노력하고 있으며 곧 추가 세부 정보를 제공할 것이라고 약속했습니다. 그러나 8월 15일에 마지막 메시지를 받은 후 팀으로부터 더 이상 업데이트를 받지 못했습니다.
두 번째 희생자: Cryptomaniac
또 다른 사용자, “Cryptomaniac”로 Discord에서 알려진 사람은 비슷한 상황을 겪었습니다. 8월 9일에 $745를 입금한 후, 자금이 그의 계좌에서 인출되어 HHeego 사건에 연루된 동일한 피싱 계좌로 보내졌습니다.
초기 Polymarket 팀의 지원 시도에도 불구하고, 결국 Cryptomaniac은 응답을 받지 못했습니다.
몇 주 동안 문제를 해결하려는 시도가 실패한 후, 고객 서비스 팀이 모든 소통을 중단했다고 보고했습니다.
Cryptomaniac는 고객 서비스로부터 받은 진술 중 하나의 스크린샷을 보여주었으며, 에이전트는 공격이 이미 다른 다섯 번의 경우에서 관찰되었음을 언급하며 최소한 세 명의 추가 피해자가 존재할 가능성을 시사했습니다.
또한, 공격자가 피해자의 계정에 접근하기 위해 OTP 이메일 인증을 사용한 것으로 나타났습니다. 이는 단순한 피싱보다 더 복잡한 침해를 의미합니다.
Google를 통한 접근 취약점이 Polymarket wallet 공격에 미치는 영향
조사는 피해자들이 사용한 modalità di accesso에 집중되었습니다.
Web3 포트폴리오인 MetaMask 또는 Trustwallet을 사용하는 사용자와 달리, 영향을 받지 않은 HHeego와 Cryptomaniac은 Google을 통해 계정에 액세스했습니다.
Polymarket, infatti, utilizza il kit di sviluppo Magic SDK per consentire agli utenti di accedere senza password o seed, facilitando il login tramite Google o email OTP.
그럼에도 불구하고, 이 시스템은 아직 명확히 밝혀지지 않은 취약점을 드러낸 것 같습니다. 이로 인해 공격자들이 피해자의 Google 계정을 손상시키지 않고도 자금을 탈취할 수 있었습니다.
Magic Labs의 문서에 따르면, 시스템은 Amazon Web Services (AWS)의 하드웨어 보안 모듈에 저장되는 “chiave master utente”를 생성합니다.
이 키는 사용자의 장치에 저장된 암호화된 두 번째 키를 해독하는 데 사용할 수 있으며, 이를 통해 Polymarket에서 거래를 시작할 수 있습니다.
그럼에도 불구하고, 두 피해자 모두 자신의 Google 계정에 비인가 접근이 없었다고 진술했으며, 이는 공격의 이해를 더욱 복잡하게 만듭니다.